Crea una carga de trabajo de Cloud Storage

En esta guía, se muestra cómo configurar las claves de encriptación en el entorno de Assured Workloads con Google Cloud Console y, luego, usar las claves para proteger un bucket de Cloud Storage. Para obtener más información sobre Assured Workloads, consulta Descripción general de Assured Workloads.

Antes de comenzar

  1. Debes ser propietario de un proyecto, administrador de la organización o tener acceso de seguridad al proyecto. Para los usuarios nuevos, consulta Primeros pasos con Assured Workloads.

  2. Elige un régimen de cumplimiento y una estrategia de encriptación.

  3. Crea una carpeta para tu entorno de Assured Workloads.

  4. Crea un proyecto en el entorno de Assured Workloads que admita el régimen de cumplimiento de la siguiente manera:

  5. Selecciona el ID del proyecto que contiene tus claves CMEK de Assured Workloads. Si eliges IL4 (vista previa) o CJIS como régimen de cumplimiento, de forma predeterminada, este proyecto comienza con cmek-.

Crea la clave.

Para crear la clave CMEK, haz lo siguiente:

  1. En Google Cloud Console, ve a Claves criptográficas:

    Ir a Claves criptográficas

  2. Selecciona el proyecto de CMEK de Assured Workloads. De forma predeterminada, este ID del proyecto comienza con cmek-.

  3. Haz clic en tu llavero de claves.

  4. Haga clic en Crear clave.

  5. En la lista desplegable ¿Qué tipo de clave quieres crear?, selecciona Clave generada.

  6. En Nombre de la clave, ingresa el nombre de la clave.

  7. En la lista desplegable Nivel de protección, selecciona Software.

  8. En la lista desplegable Propósito, selecciona Encriptación/desencriptación simétrica.

  9. En la lista desplegable Período de rotación, selecciona 90 días.

  10. Opcional: Para agregar una etiqueta, haz lo siguiente:

    1. Haz clic en Agregar una etiqueta.
    2. Ingresa una clave en el campo de texto Clave.
    3. Ingresa un valor en el campo de texto Valor.
  11. Haga clic en Crear.

Verás que la clave se creó.

Obtén tu ID de recurso de la clave CMEK

  1. En Google Cloud Console, en el Selector de proyectos, selecciona el ID del proyecto que contiene tus claves CMEK. De forma predeterminada, si Assured Workloads crea este proyecto, antepone el ID del proyecto cmek-.
  2. En Seguridad, ve a Claves criptográficas:

    Ir a Claves criptográficas

  3. En Llaveros de claves, haz clic en el nombre del llavero de claves.

  4. En Detalles del llavero de claves, en la pestaña Claves, haz clic en el nombre de la clave.

  5. Haz clic en el ícono Más a la derecha del nombre de la clave.

  6. Haz clic en Copiar nombre del recurso.

    La string del recurso se formatea de la siguiente manera:

     projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
    

Usa el ID de recurso de CMEK para encriptar Cloud Storage

  1. Ve a Cloud Storage.

    Ir a Cloud Storage

  2. En el Selector de proyectos, selecciona el proyecto de recursos de Assured Workloads en el que deseas crear el recurso de Cloud Storage.

  3. En Navegador, haz clic en Crear bucket.

  4. En Nombre de tu bucket, ingresa el nombre de tu bucket.

  5. En Elige dónde almacenar tus datos, selecciona tu región.

  6. En Elige la clase de almacenamiento predeterminada, elige la opción que mejor se adapte a tus necesidades.

  7. En Elige cómo controlar el acceso a los objetos, selecciona la opción que mejor se adapte a tus necesidades.

  8. En Configuración avanzada, si optaste por crear un proyecto de CMEK cuando configuraste Assured Workloads, haz lo siguiente:

    1. Selecciona Clave de encriptación administrada por el cliente (CMEK).
    2. En la lista desplegable Clave de encriptación administrada por el cliente, selecciona tu CMEK.
    3. Si no ves la clave, selecciona ¿No la ves? Ingresa el ID de recurso de la clave. Aparecerá el cuadro de diálogo Ingresa el ID de recurso de la clave.
    4. Sigue las instrucciones de Obtén el ID de recurso de la clave CMEK, que se encuentra antes en esta guía.
    5. Pega la clave en el campo ID de recurso de la clave.
    6. Haz clic en Otorgar.
    7. Haga clic en Crear.
  9. Si no creaste un proyecto de CMEK cuando configuraste Assured Workloads, selecciona Clave de encriptación administrada por Google.

  10. Haga clic en Crear.

¿Qué sigue?